Filtro de pacotes SNMP

marcio2048
(usa Outra)

Enviado em 06/01/2015 - 10:10h

Bom dia galera, tenho uma duvida, não sei se coloquei na categoria correta, pois ja procurei no iptables e não consegui encontrar, o problema é que preciso bloquear a consulta de SNMP a apenas algumas MIBs e outras não, por exemplo bloquear a consulta a MIB "ip.ipAddrTable" mas permitir a consulta a MIB "interfaces.ifTable.ifEntry", isso e possível? se nao for possivel pelo iptables, alguem tem alguma sugestao ?

eslih
(usa Debian)

Enviado em 06/01/2015 - 19:43h

Olá,
Creio que pelo iptables (layer7) não seja possível fazer estes tipo de bloqueio/filtro, mas pelo iptables dá para controlar por onde o snmp pode passar (bloqueando o trafego deste protocolo para determinados hosts, vlans, sub-redes, ...).
Você pode remover a MIB do agent...
Não entendi muito bem o porque fazer um filtro (pode-se remover, já que não deseja a informação, com isto pelo menos não haverá tráfego nem processamento). Mas se é por segurança, pode por exemplo, colocar regra para somente aceitar requisição de determinado IP (claro, se onde o smnp estiver aceitar isto), usar o IPSec (já que o protocolo snmp é inseguro), alterar o nome da community, trafegar o snmp por vlan diferente...
Ou se é apenas por estética visual, dependendo da aplicação que você está usando para exibir o monitoramento, ela deve ter a opção de 'omitir' alguns dados que vem no snmp...
As ações dependem muito de quem é o device no ambiente (Win, Linux, Unix, BSD, Cisco IOS, HP...)

removido
(usa Nenhuma)

Enviado em 06/01/2015 - 19:44h

Um firewall não "enxerga" essas MIBs, ele vê apenas pacotes "SNMP" transitanto.

Na página de manual snmpd.conf tem uma sessão chamada "ACCESS CONTROL", verifique se atende suas necessidades.